Seit Mai 2018 gilt die neue Datenschutzgrundverordnung für alle Unternehmen aus der EU. Dies hat Änderungen in der Datenschutzstruktur in vielen Unternehmen mit sich gebracht. Bei Nicht-Einhaltung der Vorschriften drohen Geldstrafen von bis 20 Millionen Euro oder 4% vom weltweiten Umsatz.
1. Welche Webseiten sind von der DSGVO betroffen?
Alle Webseitenbetreiber, die mit personenbezogenen Daten arbeiten, sind verpflichtet, die Vorgaben der DSGVO umzusetzen. Wenn wir heute die Webseiten betrachten, haben alle mit personenbezogenen Daten zu tun. Schlussendlich erhebt jeder Webserver bei einem Besuch mindestens die IP-Adresse des Nutzers, was wiederum zu personenbezogenen Daten gehört. Somit muss jedes Unternehmen seine Webseite datenschutzrechtlich auf Vordermann bringen.
2. Was gehört alles zu personenbezogenen Daten?
Es gibt sehr viele personenbezogene Daten. Unter anderem fallen darunter:
- Name und Anschrift von Personen
- Angaben wie Alter, Geschlecht oder Einkommen
- Daten über das Surfverhalten
- E-Mails, Videos oder Fotos
- Daten, die Mithilfe von Tracking Software verarbeitet werden, sogenannte Nutzerprofile
- Bestellverlauf in einem Online-Shop
3. Datenschutz für Webseiten richtig umsetzen
Für einen datenschutzkonformen Internetauftritt gibt es einiges zu beachten. Im Folgenden werden wir alle wichtige Punkte erklären, deren Umsetzung für fast jede Webseite erforderlich ist.
3.1. Verschlüsselung der Webseite
Die Verschlüsselung der Webseiten ist erforderlich, wenn die Webseite personenbezogenen Daten erhebt. Dies gilt im Speziellen für Kontaktformulare oder Anmeldungen (Internet Bereich, Newsletter, persönliches Konto, …). Die URL von verschlüsselten Seiten erkennt man daran, dass sie mit “https://” beginnen. Häufig wird auch das Wort “sicher” oder ein Schlosssymbol am Anfang der URL vorangestellt. Sollte Ihre Webseite bzw. die dazugehörigen Unterseiten nicht verschlüsselt sein, sollten Sie Ihren Webmaster sofort kontaktieren, damit er ein gültiges SSL-Zertifikat für Ihre Webseite besorgt. Mehr zum Thema Verschlüsselung hier.
3.2. Formulare
Formulare können für verschiedene Zwecke dienen. Zum Beispiel für die Vereinbarung von Terminen oder die Anmeldung für den Newsletter. Aber auch einfach nur für die Kontaktaufnahme. Dabei dürfen nur die personenbezogenen Daten erhoben werden, die man tatsächlich für die Beantwortung der Anfragen benötigt. In den meisten Fällen benötigt man nur die E-Mail-Adresse. Die anderen Daten wie Name oder Telefonnummer dürfen auf keinen Fall als Pflichtfelder gekennzeichnet sein. Darüber hinaus muss auf den Zweck der Verarbeitung von Daten in der Datenschutzerklärung hingewiesen werden.
3.3. Plugins
Plugins vereinfachen die Entwicklung und die Modifikation der Webseiten, sodass jeder auch ohne Programmierfähigkeiten eine Webseite erstellen und bearbeiten kann. Doch es gibt Plugins, vor allem die Social-Media-Plugins, die Datenschutzprobleme aufweisen. Diese können unbemerkt personenbezogenen Daten von Nutzern sammeln und Persönlichkeitsprofile erstellen. Webseiten Betreiber haben dabei keinen Einfluss über die Art und den Umfang der erhobenen Daten. Auch wenn die Rechtslage der Einbindung dieser Plugins nicht eindeutig geklärt ist, gehen viele Experten davon aus, dass sie rechtliche Probleme aufweisen. Eine Nutzung ist also riskant.
Es bieten sich unterschiedliche Lösungen an – wie die von Shariff. Damit kann man dem Besucher die Möglichkeit geben, erst nach Einwilligung die Daten durch die Plugins an die sozialen Netzwerke zu übertragen.
3.4. Statistik-Tools
Die Einbindung von Analysetools wie Google Analytics ist ebenfalls datenschutzrelevant. Diese Tools werden benutzt, um zu analysieren, wie viele Besucher auf der Webseite sich tummeln oder welche Inhalte besonders gut ankommen. Es kann das Verhalten der Besucher getrackt und ausgewertet werden. Dabei werden unter anderem die IP-Adressen gesammelt. Eine Nutzung kann riskant sein. Jedoch bieten sich folgende Möglichkeiten an, um das Risiko zu reduzieren:
- Den “anonymizeIP”-Befehl in den Quellcode der Webseiten einbauen, sodass die IP-Adressen nur anonymisiert erhoben werden.
- Den Nutzern vor dem Tracking um Erlaubnis fragen
- Die Nutzung von Google Analytics muss in der Datenschutzerklärung angegeben werden.
3.5. Cookies
Ein weiteres relevantes Element für den Datenschutz für Webseiten sind Cookies. Diese sind kleine Dateien, die lokal auf dem Gerät gespeichert werden. Sie dienen dazu, um die Nutzererfahrung individuell zu optimieren. Dabei ist die rechtliche Lage ebenso unklar. Es gibt technisch notwendige Cookies und andere Cookies. Der Webseitenbetreiber muss vor dem Setzen von Cookies die Einwilligung des Besuchers einholen. In dem Hinweis soll erklärt werden, wofür diese Cookies genutzt werden und an wen sie gegebenenfalls weitergegeben werden. Darüber hinaus muss in der Datenschutzerklärung ein Abschnitt zu der Verwendung von Cookies aufgenommen werden, wo die Rechtsgrundlagen dazu genannt werden. (Mehr zum Thema Cookies hier)
3.6. Datenschutzerklärung
Die Datenschutzgrundverordnung setzt eine Datenschutzerklärung auf alle Webseiten voraus. In dieser soll der Nutzer darüber informiert werden, welche Daten erhoben, gespeichert und verarbeitet werden. Darüber hinaus sollte die Datenschutzerklärung von jeder Unterseite aus einfach erreichbar sein – ähnlich dem Impressum.
Die detaillierten Vorgaben aus dem Datenschutzrecht führen dazu, dass sich oft Fehler in die Datenschutzerklärung einschleichen. Viele Webseitenbetreiber nutzen sogenannte Generatoren und kopieren den Text ohne Überprüfung auf die eigene Internetseite. Daher ist vor allem bei gewerblichen Webseiten zu empfehlen, sich an ein Datenschutzbeauftragter oder Anwalt zu wenden.
- Name und Kontaktdaten der verantwortlichen Stelle
- Zweck der Verarbeitung
- Kategorien der Betroffenen
- Empfänger personenbezogener Daten
- Übermittlung an Drittländer
- Löschfristen
- Beschreibung technischer und organisatorischer Maßnahmen
4. Wir sind für Sie da!
Wir beraten zum Thema Datenschutz für Webseiten, indem wir unseren Mandanten und Nicht-Mandanten einen kompletten Webseite-Audit anbieten. Dabei prüfen wir alle relevanten Datenschutzthemen und fassen die in einem Bericht zusammen. Zusätzlich erhalten Sie einen Maßnahmenkatalog was Sie in welcher Reihenfolge umsetzen sollten. Dieses Dokument geben Sie Ihrem Webdesigner, der die Änderungen umsetzt. Gerne unterstützt Sie unser Partner PC-Mentor GmbH auch bei der Bearbeitung Ihrer Internetseite. Kontaktieren Sie uns über unser datenschutzkonformes Kontaktformular für ein kostenloses Beratungsgespräch.